本书在信息化建设与应用中引入风险管理与控制机制，对信息系统进行全面、有效的风险分析与评估，并采取适当的风险管理与控制措施，旨在为我国各行业和组织信息安全策略的确定、信息系统的建立及安全运行提供依据，为电子商务、电子政务等各类应用的健康发展提供指导。

本书首先介绍了信息系统的相关概念及体系结构，以信息系统风险管理与控制的相关理论作为基础，分析了信息系统的风险及其分布，从信息系统的项目建设过程以及信息系统资源使用过程等方面，对信息系统的风险管理与控制进行了深入的研究。最后结合一个电子政务案例，讨论了信息系统风险管理与控制的具体应用。

本书结构合理，层次清晰，所涵盖的信息系统内容体系完整。本书既可作为信息安全、计算机科学与技术、电子商务、管理科学工程、信息系统与管理、会计（审计）学等专业高年级本科生和研究生教学以及信息化工程技术人员的培训教材，也可作为信息安全公司、IT安全咨询顾问、企事业单位高管以及信息管理中心、信息系统审计师以及信息系统工程监理等方面人士的参考用书。

第1章 信息系统概述

 1.1 信息和信息系统

1.1.1 信息的概念及特征

1.1.2 信息系统的概念及基本特征

 1.2 信息系统的软硬件构成

1.2.1 信息系统的硬件

1.2.2 信息系统的软件

 1.3 信息系统的网络基础平台

1.3.1 典型的网络结构

1.3.2 企业组网方式

1.3.3 信息系统的应用模式

 1.4 信息系统的安全

1.4.1 信息系统安全的概念

 　1.4.2 信息系统的实体安全

 　1.4.3 信息系统的运行安全

 　1.4.4 信息系统的信息安全

 1.5 信息系统的组织结构和职责

1.5.1 组织结构和职责

1.5.2 信息系统对组织结构的影响

 1.6 信息系统的体系结构

1.6.1 体系结构的概念

1.6.2 信息系统体系结构

第2章 信息系统风险管理与控制的基本理论和方法

 2.1 风险管理的研究现状

2.1.1 关于标准的研究现状

2.1.2 关于方法的研究现状

2.1.3 关于风险管理工具的研究现状

 2.2 风险管理与控制内涵

2.2.1 风险管理与控制的含义

2.2.2 影响风险管理与控制的因素

2.2.3 风险管理与控制的意义

 2.3 几个典型的信息系统风险管理与控制理论

2.3.1 内部控制理论

2.3.2 BS 7799

2.3.3 COBIT

2.3.4 ISO 13335

2.3.5 GB/T 20984—2007

2.3.6 可靠性理论

 2.4 信息系统风险管理与控制的内容与原则

2.4.1 信息系统风险管理与控制的内容

2.4.2 信息系统风险管理中的角色和责任

2.4.3 信息系统风险管理与控制的原则

 2.5 信息系统风险管理与控制的常用方法

 　2.5.1 信息系统风险管理与控制的一般过程

 　2.5.2 内部控制自我评价

 　2.5.3 信息系统的风险识别

 　2.5.4 信息系统的风险评估

 　2.5.5 信息系统的风险控制

第3章 信息系统的风险及其分布

 3.1 风险的内涵与外延

3.1.1 风险的概念

3.1.2 风险的特征

3.1.3 风险的分类

 3.2 信息系统风险的内涵与外延

3.2.1 信息系统风险的概念

3.2.2 与信息系统风险相关的几个要素

 3.3 信息系统的威胁和脆弱性

3.3.1 信息系统的威胁

3.3.2 信息系统的脆弱性

 3.4 信息系统的不确定性

3.4.1 不确定性的含义

3.4.2 信息系统的不确定性因素分析

 3.5 信息系统项目建设的风险分布

3.5.1 信息系统项目建设的生命周期

3.5.2 信息系统项目建设的风险分布

 3.6 信息系统资源使用中的风险分布

3.6.1 信息系统资源类型

3.6.2 信息系统资源使用中的风险分布

第4章 信息系统项目的风险管理与控制

 4.1 信息系统项目建设的内涵

 　4.1.1 项目的含义及特征

 　4.1.2 工程项目的含义及特征

 　4.1.3 信息系统项目建设的含义及特征

 4.2 信息系统项目建设的风险概述

 　4.2.1 信息系统项目的不确定性

4.2.2 信息系统项目风险的分类

4.2.3 信息系统项目风险的特征

 4.3 来自项目建设监理方的风险

 　4.3.1 信息系统工程监理基础

4.3.2 信息系统工程监理与建筑工程监理

4.3.3 信息系统工程监理产生的风险

 4.4 项目建设中的风险管理

4.4.1 项目管理与项目风险管理

4.4.2 项目建设中常见的风险源

4.4.3 项目建设中的关键风险点

4.4.4 项目建设风险管理的内容

4.4.5 项目建设风险管理的流程

 4.5 信息系统项目建设中的内部控制

4.5.1 决策控制

4.5.2 设计与概预算控制

4.5.3 招投标与合同控制

4.5.4 实施过程的控制

4.5.5 竣工验收与决算控制

4.5.6 交付后的风险控制

 4.6 信息系统项目建设风险的第三方控制

4.6.1 对第三方自身风险的控制

4.6.2 项目建设风险第三方控制的常用手段

4.6.3 第三方对招投标阶段的质量控制

4.6.4 第三方对设计阶段的质量控制

4.6.5 第三方对实施阶段的质量控制

4.6.6 第三方对验收阶段的质量控制

第5章 信息系统资源的风险管理与控制

 5.1 信息系统资源的风险源

5.1.1 信息资产概念

5.1.2 信息资产的风险源

 5.2 技术控制

5.2.1 对弱口令的控制

5.2.2 对内外网数据交换安全的控制

5.2.3 对远程数据传输的安全控制

5.2.4 统一威胁管理技术的应用

5.2.5 防信息泄露技术的应用

5.2.6 指纹识别技术的应用

5.2.7 PKI技术的应用

5.2.8 入侵检测技术的应用

5.2.9 病毒防护技术的应用

5.2.10 数据备份与容灾技术的应用

 5.3 管理控制

5.3.1 管理控制的常用手段

5.3.2 应用案例

 5.4 环境运行控制

5.4.1 环境运行控制的常用手段

5.4.2 应用案例

 5.5 人员控制

5.5.1 人员控制的常用手段

5.5.2 应用案例

第6章 信息系统风险管理与控制应用

 6.1 项目背景

 6.2 现状分析

6.2.1 软硬件现状

6.2.2 信息系统资源状况

6.2.3 信息化应用水平

6.2.4 人员状况

 6.3 税务信息系统的安全保护范围及目标

6.3.1 安全特性分析

6.3.2 安全保护范围

6.3.3 安全目标

 6.4 税务信息系统的风险分析

6.4.1 潜在的攻击者

6.4.2 技术层面的风险

6.4.3 管理与操作风险

 6.5 税务信息系统的风险识别

6.5.1 风险发生的可能性

6.5.2 攻击载体与攻击工具

 6.6 税务信息系统的风险评估

6.6.1 风险评估的形式

6.6.2 风险评估的组织

6.6.3 风险评估的内容

 6.7 风险管理与控制实施

6.7.1 主要原则

6.7.2 风险管理与控制的措施

主要参考文献